Goobit Sanktion och Gapanalys
News & insights / Sanktionsbeslut & Gapanalys – Goobit

Sanktionsbeslut & Gapanalys – Goobit

Finansinspektionen publicerade nyligen ytterligare ett sanktionsbeslut för brister inom AML – denna gång till det finansiella institutet Goobit som ägnar sig åt handel med digitala valutor. Ännu en gång lyfter FI fram brister kopplade till allmän riskbedömning, kundriskklassificering, kundkännedom och validering. Trots att mycket av det som framkommer är brister vi känner igen från tidigare sanktionsbeslut, så ger varje beslut oss en unik möjlighet att få insyn i- och dra lärdomar av Finansinspektionens resonemang, bedömningar och slutsatser.

”Verksamhetsutövare förväntas ta del av, analysera och bedöma varje sanktionsbeslut i syfte att identifiera liknande brister i den egna verksamheten. Min erfarenhet är att verksamheter som löpande genomför gap-analyser mot sanktionsbeslut också är de aktörer som faktiskt ligger bäst till i sitt AML-arbete.” säger Linn Sundström, Manager och senior AML-specialist.

KLICKA PÅ PILEN FÖR ATT GÅ DIREKT TILL GAPANALYS-MALLEN

TRE CENTRALA BRISTER I GOOBITS AML-ARBETE

I sanktionsbeslutet, som undersökte verksamheten för perioden januari – oktober 2021 , framkom tre huvudsakliga områden där Goobit brustit. Sammanfattat handlade det om den allmänna riskbedömningen, kundriskklassificeringsmodellen, samt kundkännedom. Nedan sammanfattas bristerna kortfattat tillsammans med våra reflektioner och erfarenheter av dessa:

1. BRISTFÄLLIG ALLMÄN RISKBEDÖMNING

Den allmänna riskbedömningen är avgörande vid besök av Finansinspektionen eftersom den utgör grunden för allt förebyggande arbete. Till följd av detta kan brister i denna process inte heller kompenseras med andra starka kontroller, vilket är något som särskiljer den från andra förebyggande åtgärder.

I Goobit-sanktionen framgår brister i den allmänna riskbedömningen där viktiga lärdomar kan dras. Klicka på rubrikerna nedan för en sammanfattning av de mest centrala bristerna, samt våra erfarenheter av dessa i praktiken:

LÄS MER HÄR

Bristande riskbedömning av produkter

I sanktionsbeslutet framgår att Goobit inte uppdaterade den allmänna riskbedömningen innan bolaget började handla med ether och att det därför saknats en riskbedömning av produkten. Därmed bedömdes den allmänna riskbedömningen inte vara heltäckande.

Bristen visar på vikten av att ha en tydlig brygga mellan produktutveckling och AML, där det behöver finnas en process för hur det ska säkerställas att den allmänna riskbedömningen alltid uppdateras innan nya produkter eller tjänster introduceras. Våra erfarenheter är att detta ofta kan säkerställas genom att se till att detta inkluderas som en nyckelkontroll i processer som NPAP (New Product Approval Process) exempelvis.

En annan brist som framkom var att Goobit inte hade bedömt risken för terrorfinansiering kopplat till bitcoin. Finansinspektionen har flertalet gånger påpekat vikten av att göra separata riskbedömningar för penningtvätt och terrorfinansiering då riskerna skiljer sig åt. Se därmed till att tydliggöra denna distinktion i den allmänna riskbedömningen och identifiera riskfaktorer separerat!

Bristande riskbedömning av kundkategorier

Goobit hade i den allmänna riskbedömningen identifierat fem huvudsakliga syften med handel med digitala valutor. Eftersom dessa utgör kundkategorier borde Goobit också ha identifierat risker förknippade med varje kategori i den allmänna riskbedömningen, detta saknades dock. Dessutom påpekade Finansinspektionen att transaktionsmonitoreringsmodellen använde sig av ytterligare kundkategorier som hög ålder, student eller arbetslös. Dessa saknades helt i den allmänna riskbedömningen.

Bristerna kopplade till kundkategorier visar på vikten av förståelse för hur kundstocken tenderar att segmenteras i verksamheten. Ofta används ett flertal kundkategorier/riskfaktorer i exempelvis kundkännedomsformulär, i övervakningen eller kanske vid utförande och godkännande av utökad kundkännedom. Vår erfarenhet är att dessa ofta felaktigt utelämnas från den allmänna riskbedömningen. Dessa kategorier behöver dock beskrivas, analyseras och riskbedömas, precis som andra kundfaktorer som är mer självklara (PEP/RCA/rapporterad till FIPO/etablerad i högrisktredjeland etc.)

Bristande riskbedömning av geografi

Goobit saknade beskrivningar eller analyser av geografiska riskfaktorer och hur dessa påverkar risken som kan associeras med produkter. I praktiken innehåller beskrivningar och analyser av geografiska riskfaktorer ofta en landriskbedömning (alternativt landriskmodell) som viktar olika riskindex (EU, FATF, Transparency International etc.) och landar i en risk. Denna landriskbedömning ska därefter vägas in i produktriskbedömningen, där det ska tas hänsyn till hur den geografiska riskexponeringen ser ut.

Vid bedömning av geografisk exponering bör det exempelvis tas hänsyn till var produkten erbjuds, men även huruvida betalningar kopplat till produkten tenderar att vara internationella och var kunder och/eller motparter befinner sig.

I Goobits fall erbjöds produkten främst till kunder inom EU/EES, däremot är ofta transaktioner med digitala valutor internationella och kunder eller motparter kan i praktiken befinna sig var som helst. Vår tolkning är att detta alltså på ett tydligt sätt borde vägts in i produktriskbedömningen.

Bristerna som lyfts fram och analyseras ovan visar än en gång hur central den allmänna riskbedömningen är för verksamhetsutövaren, inte minst vid en inspektion. Att ha en tydlig koppling mellan den allmänna riskbedömningen och övriga processer i verksamheten är avgörande – det vill säga det som ofta benämns som ”den röda tråden” inom det förebyggande arbetet. Avsaknad av detta har upprepade gånger påpekats i Finansinspektionens sanktionsbeslut genom åren och det är högst troligt att vi kommer att se detta som en brist även i framtiden. Sammanfattningsvis är det minst sagt värt att satsa på en stark process och metod för allmän riskbedömning!

2. BRISTFÄLLIG KUNDRISKKLASSIFICERINGSMODELL

Med avstamp i den allmänna riskbedömningen ska en design för kundriskklassificeringsmodell tas fram som styr prioritering i verksamheten. Mer tid och resurser ska läggas på högriskkunder och mindre för lågriskkunder. Syftet med en bra kundriskklassificering är ofta att till så stor grad som möjligt kunna replikera en manuell expertbedömning på ett automatiserat sätt. I Goobits fall fanns två centrala brister i modellen – klicka på rubrikerna nedan för att läsa mer om dessa:

LÄS MER HÄR

Bristande modelldesign

Ingen del av kundriskklassificeringsmodellen tog hänsyn till de risker som tagits upp i den allmänna riskbedömningen, vilket utgör en kritisk brist. I praktiken är det ofta bra om den allmänna riskbedömningen utöver att beskriva olika riskfaktorer också ger stöd för hur dessa ska viktas gentemot varandra. Ska till exempel samtliga riskfaktorer direkt leda till en högriskklassificering, eller ska vissa enbart göra det i kombination med andra?

Kopplat till ovan är våra erfarenheter att lågriskfaktorer används i mycket begränsad omfattning i designen av modellen. För att modellen ska vara ändamålsenlig och styra prioriteringen är det dock ytterst viktigt att även lågriskfaktorer som identifieras i den allmänna riskbedömningen också implementeras i designen av kundriskklassificeringsmodellen.

Ej genomförd validering

Goobit hade implementerat kundriskklassificeringsmodellen utan att först validera den. Vid en validering hade troligtvis den tidigare punkten kring bristfällig design också uppmärksammats, likväl som andra eventuella brister som generellt sätt är vanliga.

En vanlig missuppfattning är att validering framför allt handlar om data-/systemmässiga kontroller och att processen liknar validering som görs för andra modeller på finansiella institut. AML-modeller skiljer sig dock från andra modeller på ett flertal sätt och det är viktigt att ha koll på vilka kontroller som är relevanta att genomföra och inte.

Vår erfarenhet av bristerna som beskrivs och analyseras ovan är att de nästintill alltid kan hänföras till bristande rutiner för modellriskhantering. Om det finns en tydlig rutin för hur detta ska gå till hos verksamhetsutövaren kommer brister i modellen att upptäckas och också rättas till i tid. Med rutiner för modellriskhantering avses processer som beskriver hur modelldesign, datahantering, parameter- och tröskelvärdessättning, testning, optimering, modelldokumentation, validering, implementation, modelluppföljning och modellförändring ska genomföras i praktiken.

3. BRISTFÄLLIG KUNDKÄNNEDOM

Inom ramen för kundkännedomskontrollen inhämtades rutiner, samt togs stickprov på ett urval av kunder. Vid utformning av en rutin för kundkännedom är det viktigt att dessa är heltäckande samt beskriver vad som bör inhämtas och kontrolleras initialt och löpande. Därefter är det viktigt att dessa rutiner också följs och att de stickprov som inhämtas innehåller kundkännedom på det sättet som beskrivits i rutinen. Klicka på rubrikerna nedan för att läsa mer om de två huvudsakliga brister som identifierades inom området:

LÄS MER HÄR

Bristande rutin för kundkännedom

Goobits rutin för kundkännedomsåtgärder saknade information om hur affärsförbindelsens art skulle inhämtas.

I praktiken innebär ”affärsförbindelsens art” inom kundkännedom bland annat frågor om hur många transaktioner som ska göras, samt transaktionernas förväntade storlek. Det kan även handla om vem som kommer att utföra transaktioner till ett konto, samt huruvida exempelvis utlandsbetalningar kan förväntas eller inte. Sammanfattningsvis ska arten sätta grunden för vad som kan förväntas inom ramen för affärsförbindelsen.

Anledningen till att frågor om affärsförbindelsens art är kritiska är för att det bland annat ska användas för att bedöma risken för affärsförbindelsen och hur mycket kundkännedom som därmed ska inhämtas. Detta går att påvisa genom ett enkelt exempel med två i övrigt likadana kunder:

  • Ny kund A: säger att den ska genomföra få transaktioner av låga belopp
  • Ny kund B: säger att den ska genomföra många transaktioner av höga belopp

I enlighet med det riskbaserade förhållningssättet bör kund B som svarar att den ska genomföra många och stora transaktioner genomgå en mer gedigen kundkännedomsprocess än kund A. Det kan exempelvis handla om ytterligare eller djupare frågor kring pengarnas ursprung.

Brister i inhämtad kundkänndom

Vid granskningen av stickproven framgick att uppskattad transaktionsvolym inte hade inhämtats från kunderna. I och med att Goobit saknade information om detta i rutinen är det inte förvånande att det heller inte inhämtades. Implikationen av detta är dock att Goobit inte kunnat bedöma risken med den individuella affärsförbindelsen och därav inte heller kunnat övervaka avvikelser från förväntat beteende.

Bristerna ovan visar tydligt på att frågor om affärsförbindelsens art inte kan exkluderas från KYC-formulären. Vår erfarenhet är att det ibland används felaktiga argument för att exkludera frågor. Argumentet kan exempelvis vara att kunder kan ljuga när de svarar på KYC-frågor eller att kunder ofta är dåliga på att uppskatta antal transaktioner och volym. Till följd av dessa argument är det inte ovanligt att verksamhetsutövare söker andra kreativa lösningar för att inhämta denna information, exempelvis att arten inhämtas av kundens faktiska beteende efter att affärsförbindelsen inletts. Beslutet visar dock tydligt att Finansinspektionen förväntar sig att dessa frågor inkluderas och är besvarade – likväl som de förväntar sig att det finns scenarier i transaktionsmonitoreringen för att upptäcka avvikelser från svaren på dessa frågor (vilket förtydligades i sanktionsbeslutet till LF Bank i december 2022).

SLUTSATS

Precis som med så mycket annat är ofta hälften vunnit genom att helt enkelt se till att ha en process för genomförande av en gap-analys efter ett sanktionsbeslut, samt att också faktiskt genomföra själva övningen. Utöver att detta är en förväntning på verksamhetsutövare – är det också en otroligt enkel och tacksam kontroll för att säkerställa att de brister som funnits hos någon annan inte någon gång framåt resulterar i en sanktion i din verksamhet!

Goobit Sanktion och Gapanalys

LADDA NED EN KOPIA AV GAPANALYS-MALLEN

Ladda Ned
Albin Eriksson

Albin Eriksson

Albin är Senior Consultant och AML-specialist inom vårt AML RIsk & Analytics team. Han har flerårig erfarenhet från arbete med hela riskhanteringskedjan - från allmän riskbedömning till KYC, transaktionsmonitorering och rapportering. I sina senaste projekt har Albin arbetat hands-on med implementation och utveckling av scenarier inom transaktionsmonitorering samt modellriskhantering och validering, vilket gjort att han utvecklat djupgående kunskap även inom angränsande tekniska processer som datahantering, tröskelvärdesoptimering och testning.

SannaMari Bölenius

SannaMari Bölenius

SannaMari är en av våra seniora AML-experter som har lång erfarenhet av arbete med hela riskhanteringskedjan - från allmän riskbedömning till KYC, transaktionsmonitorering och rapportering. Genom att ha drivit projekt på både storbanker, nischbanker och betaltjänstinstitut har hon utvecklat en djup förståelse för hur det riskbaserade förhållningssättet appliceras i praktiken.

För mer information och kontakt:

SannaMari Bölenius
Senior Consultant, 421 AML Risk & Analytics
Tel: +46 (0)76-214 36 11
sannamari.bolenius@421.se

Max Knape
Manager, 421 AML Risk & Analytics
Tel: +46 (0)700-749759
max.knape@421.se
https://www.421.se/services/aml-risk-analytics/

Om 421 AML Risk & Analytics

421 AML Risk & Analytics är en del av 421 som är specialiserade inom AML & CTF. Vi har ett uteslutande fokus på AML-relaterade frågor inom regelefterlevnad, riskhantering, analys och verksamhetsstyrning. Vårt utpräglade AML-fokus ger oss möjlighet att erbjuda relevant och nischad expertis inom området.

Tillsammans har våra specialister gedigen erfarenhet och en heltäckande kunskap inom AML. Från tolkning av regelverk och framtagande av interna ramverk till modellutveckling och dataanalys specifikt inom AML. Vi har erfarenhet från en mängd banker och finansiella institut av varierande storlek med geografisk närvaro i Norden och Baltikum.

Vår storlek tillåter oss att erbjuda flexibla lösningar, anpassade efter varje organisations unika behov. Vi tillhandahåller AML-relaterade tjänster dels på löpande basis, dels i projekt av varierande storlek. Oavsett engagemang har vi alltid kundens behov i främsta fokus

Share:
Facebook
Twitter
LinkedIn

421 is an advisory and consultancy firm that creates value for our clients by leveraging our financial, regulatory and change management expertise. Our clients are mainly found in the Nordic countries’ financial services sector.

Linkedin-in
Main menu
Legal
Contact us
  • info@421.se

Oxtorgsgatan 4
111 57 Stockholm

Contact us

Copyright ©2022, All Rights Reserved.

This website uses cookies

Cookies consist of small text files. They contain data that is stored on your device. To enable us to place certain types of cookies we need to obtain your consent. At 421 Resource Management AB, corp. ID no. 556827-2560, we use the following kinds of cookies. To read more about which cookies we use and storage times, click here to access our cookies policy.

Manage your cookie-settings

Necessary cookies

Necessary cookies are cookies that must be placed for basic functions to work on the website. Basic functions are, for example, cookies which are needed so that you can use menus on the website and navigate on the site.

Functional cookies

Functional cookies need to be placed on the website in order for it to perform as you would expect. For example, so that it recognizes which language you prefer, whether or not you are logged in, to keep the website secure, remember login details or to be able to sort products on the website according to your preferences.

Cookies for statistics

For us to measure your interactions with the website, we place cookies in order to keep statistics. These cookies anonymize personal data.

Cookies for ad-tracking

To enable us to offer better service and experience, we place cookies so that we can provide relevant advertising. Another aim of this processing is to enable us to promote products or services, provide customized offers or provide recommendations based on what you have purchased in the past.
Confirm choices Accept all
Follow us
Linkedin-in
Copyright ©2023, All Rights Reserved